VTW Publicaties

5

Interne ­beheersing  en risico­management

Woningcorporaties willen inzicht hebben in de risico’s die ze lopen en willen deze risico’s beheersen om de doelstellingen te kunnen realiseren. Vanuit de Governancecode wordt het hebben van beleid op het interne risicobeheersing- en controlesysteem voorgeschreven. Principe 5 uit de Governancecode, “Bestuur en RvC beheersen de risico’s verbonden aan de activiteiten”, is daarbij het leidend kader.

Risico wordt gedefinieerd als een onverwachte gebeurtenis die effect heeft op het bereiken van de doelstellingen. Risico bestaat uit een kans dat deze onverwachte gebeurtenis zich voordoet en de impact die dan ontstaat. Risico’s kunnen als volgt worden ingedeeld:

  • externe risico’s komen van buiten, zijn minder goed beïnvloedbaar maar hebben een grote invloed op de organisatie en doelstellingen;
  • strategische risico’s hebben een grote impact op het realiseren van de doelstellingen maar zijn qua kans van optreden of gevolgen goed te beïnvloeden;
  • te voorkomen risico’s (tactisch-/operationeel-) zijn goed beïnvloedbaar, maar hebben minder impact op het realiseren van de doelen van de organisatie;
  • acceptabele risico’s zijn niet beïnvloedbaar en hebben weinig impact op de organisatiedoelen.

Deze indeling in risico’s wordt gebruikt om beter invulling te geven aan de beheersing van risico’s. Externe risico’s kennen een andere beheersingsstrategie dan te voorkomen risico’s. Te voorkomen risico’s bevinden zich in de directe invloedssfeer. Woningcorporaties kunnen direct invloed uitoefenen op de gevolgen van deze risico’s door aanpassing van de werkprocessen of uitvoeringsplannen. Op interne risico’s zijn over het algemeen beheersmaatregelen te nemen aan de hand van een kosten-/batenafweging. Beheersmaatregelen mogen immers niet duurder zijn dan het risico zelf. Het kenmerk van externe risico’s is dat de oorzaak zich veelal buiten de invloedssfeer bevindt. Voorbeelden zijn maatschappelijke ontwikkelingen en regelgeving die tot extra kosten kunnen leiden, zoals bijvoorbeeld de verhuurdersheffing.

5.1 Cultuur en gedrag

Risicomanagement behelst zowel structuur als cultuur. Gedrag en houding van bestuur, leidinggevenden en medewerkers ten aanzien van risicobewustzijn, is fundamenteel. Dit geldt uiteraard ook voor het gedrag en de houding van de leden van de RvC. Een risicomanagementproces dat onvoldoende aandacht besteedt aan de menselijke factor is gedoemd te mislukken. Corporaties dienen ook te sturen op de volgende beheermaatregelen:

  • leiderschap en voorbeeldgedrag van bestuur en RvC;
  • communiceren en informeren;
  • motiveren en waarderen;
  • stimuleren en faciliteren;
  • aanspreken en handhaven.

Het risicobewustzijn wordt vooral versterkt door facetten van risicomanagement bespreekbaar te maken en te houden. De controller binnen de organisatie vervult hierin een leidende rol en kan fungeren als ambassadeur van risicomanagement.

Voorwaarden voor een goede risicocultuur
  • De bestuurder toont een proactieve houding ten opzichte van het risicomanagement binnen de organisatie. Het bestuur geeft er blijk van te begrijpen wat risicomanagement is. De bestuurder is gecommitteerd aan risicomanagement en toont voorbeeldgedrag.
  • Risicomanagement wordt door de bestuurder gezien als een integraal onderdeel van de besturing en planning & control cyclus.
  • De bestuurder heeft een goed beeld van de belangrijkste risico’s die de corporatie loopt. Het bestuur voert regelmatig scenario analyses en stresstesten uit. De bestuurder spreekt daar open over.
  • Risico’s zijn onderling bespreekbaar op èn tussen alle organisatieniveaus.
  • De RvC biedt voldoende ‘countervailing power’ ten opzichte van de bestuurder en spreekt hem/haar aan op de kwaliteit van het risicomanagement.
  • De manager Finance & Control (of vergelijkbare functionaris), maar ook de rest van het management en de controller, is voldoende krachtig en in staat tegenwicht te bieden aan het bestuur.
  • In het beoordelings- en beloningsbeleid van de corporatie is sprake van een evenwichtige sturing op prestaties versus risico’s.

5.2 Soft controls

Casussen van de afgelopen tijd laten steeds meer zien dat alleen ‘zichtbare beheersingsmaatregelen’ niet leiden tot gewenst gedrag. Sterker nog, focus louter op deze beheersingsmaatregelen kan leiden tot ongewenst gedrag om te voldoen aan deze beheersingsmaatregelen. Een berucht voorbeeld hiervan is de blinde paraaf op een factuur.

Een soft control is een niet-tastbare beheersingsmaatregel die beoogt gewenst gedrag te stimuleren (of juist ongewenst gedrag te ontmoedigen). Muel Kaptein4

heeft een model ontwikkeld met acht basis soft controls die zijn onder te verdelen in een drietal categorieën:

  1. Preventieve soft controls
  2. Detectieve soft controls
  3. Correctieve soft controls

5.2.1 Preventieve soft controls

Preventieve soft controls zijn er op gericht om het gedrag van medewerkers op een positieve manier te beïnvloeden. Voorbeelden hiervan zijn duidelijke communicatie over ongewenst en bovenal gewenst gedrag en betrokkenheid van de medewerkers bij de doelstellingen van de organisatie. Richtlijnen die hiermee te maken hebben zijn huisregels, integriteitsbeleid en een klokkenluidersregeling.

5.2.2 Detectieve soft controls

Detectieve soft controls zijn er op gericht om het handelen van medewerkers en de gevolgen van het handelen waarneembaar te maken binnen de organisatie. Voorbeelden hiervan zijn het bespreken van morele kwesties zodat medewerkers van elkaar kunnen leren en weten wat er van hen verwacht wordt en hierop hun gedrag kunnen aanpassen.

5.2.3 Correctieve soft controls

Correctieve soft controls zijn er op gericht om medewerkers aan te spreken op (ongewenst) gedrag. Bijvoorbeeld door ruimte voor (360-graden)feedback en het belonen van gewenst gedrag en het bestraffen van ongewenst gedrag.

 

4 Hoogleraar Business Ethics and Integrity management aan de Erasmus Universiteit

Arrow-prev Arrow-next